Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par lien Facebook

csamy

Par csamy
dans Analyses et éradication malwares

 Partager

Messages recommandés

csamy Member

csamy

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Hier un ami m'a envoyé en message instantané un fichier nommé Icon_0612.zip contenant un fichier Icon_0612.jar. Après avoir double cliqué dessus, mon facebook a commencé automatiquement à envoyer ce .zip à presque tous mes contacts...

 

Un scan de ce fichier : https://www.virustotal.com/fr/file/46000ed0a1742d29393edf7a14d1b5e459d5c16e9fc84d67e64052b5b6fed6e1/analysis/1400917868/

J'ai effectué un coup de malwarebytes, dont voici le rapport : http://pastebin.com/bkBzg6c9 (j'ai supprimé ensuite les fichiers concernés)

je viens de refaire ce matin une autre analyse : http://pastebin.com/CWUZ6vs3

 

Merci d'avance pour votre aide

Modifié par csamy

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Il vaut mieux faire une analyse complète (personnalisée) avec MBAM et cocher la case "recherche de rootkits". En profiter pour connecter les supports amovibles (USB) comme clés USB, disque externe, etc.

 

On y reviendra.

 

ZHPDiag :

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
    Lien de secours: ftp://zebulon.fr/ZHPDiag2.exe
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur


N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Clique sur Complet (Full options)

[*]ZhpDiagcomplet_zps7fd29cfc.jpg

[*]Tu patientes jusqu'à ce que le scan affiche 100%
Tu refermes ZHPDiag

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
Ce rapport étant trop long pour le forum, héberge le :

ou http://dl.free.fr/

http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

16-01-201400-29-39_zpsaee22218.jpg

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

1)

ZHPFix :

  • Ferme toutes les applications ouvertes
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  • Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

 

Script ZHPFix

G2 - GCE: Preference [user Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Extutil v.0.1 (Activé)
G2 - GCE: Preference [user Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
[MD5.4E8C983215115036C46841FFB51562A1] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe [2820608]
O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Conduit Search) - http://www.trovigo.com
[HKLM\Software\Google\Chrome\Extensions\booedmolknjekdopkepjjeckmjkdpfgl]
[HKLM\Software\Google\Chrome\Extensions\flpcjncodpafbgdpnkljologafpionhb]
C:\Users\Samy\AppData\Local\Google\Chrome\User Data\Default\Extensions\booedmolknjekdopkepjjeckmjkdpfgl
C:\Users\Samy\AppData\Local\Google\Chrome\User Data\Default\Extensions\flpcjncodpafbgdpnkljologafpionhb
C:\Windows\AutoKMS\AutoKMS.exe
EmptyClsid
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
EmptyPrefetch
emptytemp
emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

  • Le script doit automatiquement apparaitre dans ZHPFix.
    Clique sur le bouton GO pour lancer le nettoyage

  • Valide par Oui la désinstallation des programmes si demandé.
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-----------------------------------

2)

*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.***

Télécharge AdwCleaner par Xplode: [*]

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Enregistre-le sur le bureau (et pas ailleurs).

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.
Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Scanner et laisse travailler l'outil.

Cliquer sur Nettoyer , le bouton sera accessible.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html
http://www.vista-xp.fr/forum/topic10389.html

-------------------------

3)

Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

jrt02-4364c79.jpg

Site éditeur: http://thisisudax.org/

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.
S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera. Mettez-le à la corbeille et téléchargez la dernière version.

Renomme JRT_NEW en JRT.

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

Poste le rapport généré à la fin de l'analyse.

NB: Le bureau disparaitra un instant, c'est normal.

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

capture1-3bf0deb_zpsf4ca5241.jpg

capture2-3bf0dfa_zps7abd8f5a.jpg

 

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

Fais un examen COMPLET (personnalisé) avec MBAM et pense à cocher la case "recherche de rootkits.

 

Branche également les clés usb, disque externe et tout autre support de stockage USB avant de lancer l'analyse; coche les lettres qui se rapportent à ces lecteurs.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...